Обновляемся: Microsoft закрыла ряд критических уязвимостей
CVE-2021–1647 — 0-day Remote Code Execution уязвимость в Microsoft Defender. Суть ее в том, что злоумышленник может выполнить произвольный код, используя уязвимую библиотеку mpengine.dll, которая является компонентом Microsoft Defender. Уязвимые версии Defender находятся во всех версиях Windows, начиная с Windows Server 2008 и Windows 7. Как сообщает Microsoft, PoC доступен публично и уже были зафиксированы попытки эксплуатации уязвимости.
Для ее исправления можно либо установить январские обновления безопасности, либо просто обновить Microsoft Defender до последней версии. Уязвимыми являются версии до 1.1.17600.5 включительно.
CVE-2021–1648 — новая Elevation of Privileges уязвимость в splwow64, которая является следствием неудачного исправления для 0-day уязвимости CVE-2020–0986 в июне 2020 года. Выяснилось, что достаточно внести небольшие исправления в PoC для CVE-2020–0986, чтобы обойти исправления.
Несмотря на то, что попыток эксплуатации уязвимости в атаках не зафиксировано, описание было опубликовано в конце декабря, поэтому обновиться стоит как можно скорее.
CVE-2021–1658, CVE-2021–1660, CVE-2021–1666, CVE-2021–1667, CVE-2021–1673 — критические Remote Code Execution уязвимости в Remote Procedure Call Runtime, позволяющие злоумышленнику удаленно передавать команды и выполнять произвольный код через RPC.
Информации о существующих публичных PoC, а также о подтвержденных попытках эксплуатации нет.
Отдельно стоит отметить недавно обнаруженную 0-day Local Privilege Escalation уязвимость в PsExec, которая позволяет злоумышленнику получить системные привилегии. Уязвимыми являются все версии PsExec за последние 14 лет: от 1.72 до 2.2. Эксплуатация возможна во всех версиях Windows, начиная с Windows XP. Тем не менее, Microsoft никак не исправила уязвимость в январских обновлениях, а выпущенная в начале 2021 года новая версия PsExec 2.30 также является уязвимой после небольшой доработки PoC.
Единственным существующим исправлением на данный момент является патч от 0patch, применимый только к последним версиям PsExec.
Павел Зыков, аналитик угроз отдела расследования инцидентов JSOC CERT